msramdmp - Princeton-Hauptspeicher-Hack via USB-Stick nutzen

Kleines Programm schreibt den Hauptspeicherinhalt auf USB-Sticks. Wesley McGrew hat ein Tool entwickelt, das die Idee der Cold-Boot-Attacke nutzt, um Passwörter im Arbeitsspeicher zu erspähen. Die Cold-Boot-Attacke macht sich zunutze, dass der Inhalt vom Arbeitsspeicher nicht sofort verschwindet. Wird ein Rechner schnell genug neu gestartet, ist so ein Zugriff auf die Daten möglich. Der McGrew Security RAM Dumper - kurz msramdmp - kann für diesen Zweck von einem USB-Stick gestartet werden und schreibt anschließend den Inhalt des Arbeitsspeichers auf den Stick.

4. März 2008 um 15:34 Uhr / Andreas Sebayang

21 Kommentare News folgen (öffnet im neuen Fenster)

Der IT-Sicherheitsexperte Robert Wesley McGrew hat das Programm msramdmp geschrieben, da die Forscher der Princeton-Universität ihr eigenes Tool, um Speicher auszulesen, bisher noch nicht veröffentlicht haben. Um eine Cold-Boot-Attacke durchzuführen, braucht es neben dem Programm msramdmp(öffnet im neuen Fenster) nur einen ausreichend dimensionierten USB-Stick und ein kleines Linux. Das sollte beim Neustart des Rechners nicht zu viele Daten im Arbeitsspeicher überschreiben, denn auch das Angriffssystem muss Arbeitsspeicher nutzen, um lauffähig zu sein.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Systemadministrator*in Basisinfrastruktur SAN/Storage/ RedHat Linux (m/w/div) Deutsche Rentenversicherung Bund, Würzburg,Berlin (öffnet im neuen Fenster)

W2-Professur für Angewandte Informatik & Künstliche Intelligenz (m/w/d) DUALE HOCHSCHULE SACHSEN - Rektorat, Glauchau (öffnet im neuen Fenster)

Application Engineer - AI Enablement (m/f/d) Advantest Europe GmbH, München (öffnet im neuen Fenster)

Project Director (d/m/w) SAP Lifecycle Management ams-OSRAM AG, Premstätten,Regensburg (öffnet im neuen Fenster)

Netzwerk-und Infrastruktur-Spezialist (m/w/d) HEUFT SYSTEMTECHNIK GMBH, Burgbrohl (öffnet im neuen Fenster)

IT Project Management Officer (PMO) (m/w/d) DKMS Group gGmbH, Köln,Tübingen (öffnet im neuen Fenster)

Sachbearbeitung Telekommunikationssysteme (w/m/d) KommunalBIT AöR, Fürth (öffnet im neuen Fenster)

Softwarebetreuer (m/w/d) in Vollzeit Pferdesporthaus Loesdau GmbH & Co KG, Bisingen (öffnet im neuen Fenster)

Wesley McGrew nutzt hierfür ein SysLinux, auf dem msramdmp lauffähig ist. Dazu muss der Zielrechner jedoch in der Lage sein, von USB-Geräten zu starten. Kommt der Angreifer etwa nicht in ein passwortgeschütztes BIOS, kann dieser dort auch nicht die Boot-Reihenfolge entsprechend anpassen.

Das Programm msramdmp(öffnet im neuen Fenster) ist inklusive Quellcode beim Autor verfügbar. Derzeit soll das Programm noch sehr langsam arbeiten; um herauszufinden, welche Programme eventuell Schlüssel leicht erkennbar im Arbeitsspeicher hinterlassen, genügt das jedoch.

Um einem möglichen Angriff zu entgehen, sollte der Nutzer Rechner mit kritischen Daten möglichst nicht unbeaufsichtigt lassen .

Zur Startseite 21 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Folgen des Princeton-Hauptspeicher-Hacks eingrenzbar

Rechner nicht unbeaufsichtigt anlassen. Vor wenigen Tagen berichteten Forscher der Universität Princeton, wie man die Daten aus dem Hauptspeicher des Rechners sowie den geheimen Schlüssel auslesen kann. Nun hat der Sicherheitsanbieter Utimaco darauf reagiert und zeigt Möglichkeiten auf, wie der Hack des Speicherinhalts im RAM vermieden werden kann.

Relevante Themen